AI大模型时代网络安全技术人员的转型之路

💭 未来的几年安全人员应该就没有红队、蓝队和紫队，只有不懂AI的安全人员和精通AI的安全领域专家；

AI大模型时代的技术经过多轮的技术升级后表现的越来越智能，在很多领域逐渐都呈现出能力、效率都超越传统工程师的情况。在网络安全领域，不同智能化能力能够处理的安全任务难度也存在较大不同，我认为主要也有4个不同时期的阶段。

AI大模型在网络安全领域的四个发展阶段

网络安全的Copilot的出现

2023年的时候，微软在油管上发布了一个网络安全领域的大模型，主要是讲述了大模型在日常的安全运营过程中的一些应用场景，主要定位以助手的方式辅助安全人员完成一些初级特定安全场景的工作。

Reasoner模型

2025年初的时候DeepSeek-671B能够支持多个复杂的推理任务。智能化水平提高，明显发现大模型的thinking偏向于人类的慢思考会站在多个场景、角色去完成对应的任务，具体任务上完成的更好，比如写一些脚本代码，漏洞的修复建议；

Agent智能体

不止于对话反而模型可以执行调用各种工具，进行多次推理处理多步任务；

更智能化的模型出现

Claude、Gemini3 、GPT5等更加智能化的模型出现，尤其是在代码编写领域表现更加让人惊艳的能力；

安全业务的碎片化特点

安全业务碎片化特点十分明显，从很多安全人员人员的分工上就可见一斑。有做渗透测试的、给客户做威胁运营的、做安全运维，做漏洞治理的、安全审计SDL、安全开发，安全管理，做安全合规等等。有人做数据安全，也有人做网络安全；有人擅长window应急、有人擅长linux应急；我们也习惯性将安全人员从攻防的视角分为红队、蓝队，不同角色都有自己的定位；攻击队有自己的扫描工具、漏洞利用工具、权限维持工具、后门清理；防守队，常见的各类检测响应安全设备、应急响应的工具包、各类日志分析工具。大家似乎都有自己不同的技术栈和擅长领域，但这一切在AI技术赋能场景之后二者的界面就越来越模糊。

AI实现安全技术平权

攻击者对一个web应用系统进行代码审计，挖掘其中的配置不当和存在的RCE漏洞，和安全研发的SDL做白盒测试虽然目标不一样，但可能都是用各自不同的代码扫描工具扫描；那给客户做服务的MSS人员也可以通过cursor+claude完成对应的任务；针对于特定业务系统的安全性评估，需要渗透测试的人员借助一些系列的安全工具发起攻击以发现存在的安全风险，换一种思路一些做安全合规的人员可以借助于一些渗透测试智能体完成相同的任务。红队因为项目需要需要生成多个免杀的webshell样本bypass一些安全软件和安全设备，往往需要大量的知识储备和对抗技巧，而做安全测试的人员也可以通过复杂的提示词批量生成大量的样本。

某种意义上AI实现了安全技术平权；

安全专家的价值依然不可替代

那是否AI的技术的持续演进就意味着大量的安全人员的知识储备变得毫无意义了？我认为不是的，很多初级、繁琐的事务性工作AI的确是可以完成的很好，同时安全领域层面的专家成为了最为稀缺的资产；

因为其实不管是攻击还是防御本质上都是人和安全工具围绕着某个特定任务的一种协同；我们反思一下，我们是如何去评价一个安全技术人员的能力强弱的？

评价安全技术人员能力的三个维度

• 第一个：面对一个复杂任务的时候，如何进行拆解然后分部给出step by step的路径。
• 第二个：具体任务下工具的选择和使用的熟练度。
• 第三个：根据过程中的过程中的数据结果，如何进一步调整第一步的任务；

💡案例分析：勒索事件应急响应

举一个最为简单的例子，比如某一台主机被勒索了，现在需要去上机做应急响应和溯源。这个时候应该如何进行实施？

这里面其实就有很多的背景知识、有经验的专家往往会先有个大概的任务规划；勒索事件目前绝大多数都是定向的投毒事件，人工执行的勒索动作，往往也会有一段时间的潜伏期做好较为全面的信息探测之后，最后选择了重要业务实施勒索。所以最高效的方式应该是先分析被勒索的主机的系统日志/账号登录行为、定位攻击者使用的远控方式、从文件被加密的时间点分析相关的文件落盘和删除行为，然后逐步发现内网其他可能失陷的主机。

那整个过程中，我可能需要一个everything、需要一个系统日志/账号日志的分析工具、如果找到勒索样本需要一个IDA或者OD、云端的Virustotal。

那么在上机溯源的过程中，比如发现了一个主机意外的开放了互联网的8080的web服务和6379端口，我们可能就需要新增一个web日志分析工具和Webshell扫描工具了，整个任务的走向就需要有一些变化并重新规划。

整个过程中最为稀缺的并不是这些工具的使用方法和熟练程序，而是在面临不同场景下排查问题的思路步骤和结果。比如查看的web日志的时候，有人可以找到对应的访问日志、有人经验欠佳就不能找到；有人分析流量包的时候观察某个特定的字符串一眼就可能看懂是一个C2通信、有人可能直接就当误报给加白过滤掉了；关键的线索误判往往会很大程度的影响时效性也有一种可能模型在多次失败之后，能够从大量的错误的路径当中找到正确的那一条，但总体上的花费的时间成本和效率是低下的。

经验丰富的安全专家 和 初级的安全专家最大的差异，本质上还是见多识广，因为之前遇见过或者有其他的知识储备，往往会有更好的技术表现。一个从事过多年红队服务的安全人员，去做安全事件响应的应急响应，往往效率更高，而且比很多一直从事应急响应的人往往能发现更多的线索。就和目前很多大模型即使参数量很大，却依然无法在很多安全领域细分场景下表现的很好的原因一致，高质量的安全数据是少量且缺失的。

网络安全技术人员的转型路径

回到文档的主题，在AI大模型时代，网络安全技术人员需要如何进行转型才能避免被AI给取代替换掉。我觉得主要是有二个思路：

充分的拥抱AI大模型技术

充分的拥抱AI大模型技术，提高自己的效率和能力；使用AI更高效自己的任务的同时，扩展自己的能力栈。

充分拥抱大模型技术，需要我们对日常的工作进行梳理，主要目标还是提效增质；比如我们是做安全产品的安全能力，那么我们可以让大模型帮我们写Snort规则，或者检测能力的APP，我们对效果和质量进行把关。在日常的安全产品运维当中，也可以使用大模型帮我们实现安全设备各项数据的监控，帮我们编写运维报告；渗透测试过程中帮我们完成渗透测试的报告。威胁运营过程中同时也可以尝试利用大模型帮我们去开放一些应用，网站系统，智能体应用等等，加速我们的工作效率。

成为安全领域方面的业务专家

成为安全领域方面的业务专家和AI形成错位竞争；AI对业务场景、行业知识的是缺乏的。

同时安全人员也可以尝试多了解一些业务知识和场景，避免只是停留在安全技术层面。更多的关注安全技术保护的都是什么业务，有什么个性化的诉求，当前的效果情况如何，是否需要加强能力建设等等，也是另外一条好的思考。

🚀 结语

未来AI智能化的能力越来越强、还会有更多的新的技术挑战出现，我们也需要跟上这一波难得的技术革命。